KMSclés dans un magasin de HSM clés dans le cloud

Vous pouvez créer, afficher, gérer, utiliser et planifier la suppression du AWS KMS keys dans un magasin de AWS CloudHSM clés. Les procédures que vous utilisez sont très similaires à celles que vous utilisez pour les autres KMS clés. La seule différence est que vous spécifiez un magasin de AWS CloudHSM clés lorsque vous créez la KMS clé. AWS KMS Crée ensuite du matériel clé non extractible pour la KMS clé dans le AWS CloudHSM cluster associé au magasin de AWS CloudHSM clés. Lorsque vous utilisez une KMS clé dans un magasin de AWS CloudHSM clés, les opérations cryptographiques sont effectuées HSMs dans le cluster.

Fonctionnalités prises en charge

Outre les procédures décrites dans cette section, vous pouvez effectuer les opérations suivantes avec les KMS clés d'un magasin de AWS CloudHSM clés :

Utilisez des politiques, IAM des politiques et des autorisations clés pour autoriser l'accès aux KMS clés.
Activez et désactivez les KMS touches.
Attribuez des balises et créez des alias, et utilisez le contrôle d'accès basé sur les attributs (ABAC) pour autoriser l'accès aux clés. KMS
Utilisez les KMS clés pour effectuer les opérations cryptographiques suivantes :
Les opérations qui génèrent des paires de clés de données asymétriques GenerateDataKeyPairet GenerateDataKeyPairWithoutPlaintextne sont pas prises en charge dans les magasins de clés personnalisés.
Utilisez les KMS clés avec des AWS services qui intègrent AWS KMS et prennent en charge les clés gérées par le client.
Suivez l'utilisation de vos KMS clés dans les AWS CloudTrail journaux et les outils CloudWatch de surveillance Amazon.

Fonctions non prises en charge

AWS CloudHSM les magasins de clés ne prennent en charge que les KMS clés de chiffrement symétriques. Vous ne pouvez pas créer de HMAC KMS clés, de KMS clés asymétriques ou de paires de clés de données asymétriques dans un magasin de AWS CloudHSM clés.
Vous ne pouvez pas importer de matériel clé dans une KMS clé d'un magasin de AWS CloudHSM clés. AWS KMS génère le matériau clé pour la KMS clé dans le AWS CloudHSM cluster.
Vous ne pouvez pas activer ou désactiver la rotation automatique du matériau clé d'une KMS clé dans un magasin de AWS CloudHSM clés.

Utilisation de KMS clés dans un magasin de AWS CloudHSM clés

Lorsque vous utilisez votre KMS clé dans une demande, identifiez-la KMS par son identifiant ou son alias ; il n'est pas nécessaire de spécifier le magasin de AWS CloudHSM clés ou le AWS CloudHSM cluster. La réponse inclut les mêmes champs que ceux renvoyés pour toute KMS clé de chiffrement symétrique.

Toutefois, lorsque vous utilisez une KMS clé dans un magasin de AWS CloudHSM clés, l'opération cryptographique est entièrement réalisée au sein du AWS CloudHSM cluster associé au magasin de AWS CloudHSM clés. L'opération utilise le matériau clé du cluster associé à la KMS clé que vous avez choisie.

Pour que cela soit possible, les conditions suivantes sont requises.

L'état de la KMS clé doit êtreEnabled. Pour trouver l'état clé, utilisez le champ Status de la AWS KMS console ou le KeyState champ de la DescribeKeyréponse.
Le magasin de AWS CloudHSM clés doit être connecté à son AWS CloudHSM cluster. Son statut dans la AWS KMS console ou ConnectionState dans la DescribeCustomKeyStoresréponse doit êtreCONNECTED.
Le AWS CloudHSM cluster associé au magasin de clés personnalisé doit contenir au moins un élément actifHSM. Pour connaître le nombre de personnes actives HSMs dans le cluster, utilisez la AWS KMS console, la AWS CloudHSM console ou l'DescribeClustersopération.
Le AWS CloudHSM cluster doit contenir le matériau clé de la KMS clé. Si le matériel clé a été supprimé du cluster, ou si un élément HSM a été créé à partir d'une sauvegarde ne contenant pas le matériel clé, l'opération cryptographique échouera.

Si ces conditions ne sont pas remplies, l'opération cryptographique échoue et AWS KMS renvoie une KMSInvalidStateException exception. En général, il suffit de reconnecter le magasin de AWS CloudHSM clés. Pour obtenir de l'aide supplémentaire, consultez Comment réparer une KMS clé défaillante.

Lorsque vous utilisez les KMS clés d'un magasin de AWS CloudHSM clés, sachez que les KMS clés de chaque magasin de AWS CloudHSM clés partagent un quota de demandes de stockage de clés personnalisé pour les opérations cryptographiques. Si vous dépassez le quota, AWS KMS renvoie unThrottlingException. Si le AWS CloudHSM cluster associé au magasin de AWS CloudHSM clés traite de nombreuses commandes, y compris celles qui ne sont pas liées ThrottlingException au magasin de AWS CloudHSM clés, vous pouvez obtenir un taux encore plus faible. Si vous obtenez une exception ThrottlingException pour une demande, réduisez la fréquence des demandes et essayez les commandes à nouveau. Pour plus d'informations sur le quota de magasin de clés personnalisé, veuillez consulter la rubrique Quotas de demandes de magasin de clés personnalisé.

En savoir plus

Pour en savoir plus sur les magasins à AWS CloudHSM clés, consultezAWS CloudHSM magasins clés.
Pour créer des KMS clés dans un magasin de AWS CloudHSM clés, voirCréation d'une KMS clé dans un magasin de AWS CloudHSM clés.
Pour identifier et afficher KMS les clés d'un magasin de AWS CloudHSM clés, voirIdentifiez les KMS clés dans les magasins de AWS CloudHSM clés.
Pour trouver des KMS clés et du matériel clé dans un magasin de AWS CloudHSM clés, voirTrouvez des KMS clés et du matériel clé dans un magasin de AWS CloudHSM clés.
Pour en savoir plus sur les considérations particulières relatives à la suppression de KMS clés dans un AWS CloudHSM magasin de clés, voir Supprimer KMS des clés d'un magasin de AWS CloudHSM clés.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Suppression des éléments de clé importés

KMSclés dans des magasins de clés externes